Sigma项目规则优化：降低文件枚举检测的误报率分析

背景概述

在安全检测领域，文件枚举行为是系统分析的常见手段。Sigma项目中的规则7c9340a9-e2ee-4e43-94c5-c54ebbea1006旨在检测通过dir命令进行的文件枚举活动，但在实际应用中发现存在较高的误报率。本文将深入分析该规则的优化方向和技术细节。

现有规则问题分析

当前规则主要存在两个层面的误报问题：

1. 进程匹配不精确：规则未限定特定进程（如cmd.exe），导致大量合法应用程序（如Firefox、Edge等）的正常操作被误判为可疑行为。

2. 命令参数误匹配：规则对dir命令参数的检测逻辑过于宽泛，会将包含类似参数结构的其他命令（如rmdir /s/q）错误识别为文件枚举行为。

技术优化方案

进程限定优化

建议增加进程路径限定条件：

Image|endswith: \cmd.exe

这一修改可有效过滤非命令行进程产生的日志，但需注意：

• 仅适用于通过cmd.exe调用的dir命令
• 不适用于PowerShell等其它shell环境

命令参数精确匹配

建议优化参数检测逻辑：

1. 将原有的宽泛匹配改为精确模式：

CommandLine|contains: 'dir*/s'

2. 增加排除规则，过滤包含以下关键词的合法命令：
   • rmdir
   • windir
   • /s/q等常见清理命令参数

深入技术探讨

Windows命令执行机制

在Windows系统中，直接在当前shell中执行dir命令不会产生新进程事件，只有通过以下方式才会被记录：

• cmd /c "dir"
• 通过CreateProcess等API启动的独立进程

这种特性决定了检测规则需要：

1. 关注cmd.exe进程
2. 分析其命令行参数

系统操作手法

高级用户可能采用以下方式绕过检测：

1. 使用PowerShell的Get-ChildItem替代dir
2. 通过API直接枚举文件系统
3. 使用非常规参数组合

因此建议补充以下检测策略：

1. 监控PowerShell的特定cmdlet调用
2. 结合文件系统访问模式分析
3. 建立命令参数白名单机制

实施建议

1. 分层检测策略：

   • 第一层：基础进程+命令匹配
   • 第二层：异常参数组合分析
   • 第三层：行为序列关联

2. 日志增强建议：

   • 启用进程创建完整命令行记录
   • 收集父进程信息用于关联分析
   • 记录进程完整性级别等上下文信息

3. 规则测试要点：

   • 验证常见管理命令的兼容性
   • 测试多种shell环境的覆盖情况
   • 评估性能影响

总结

通过精确进程匹配和参数分析，可显著降低文件枚举检测的误报率。但安全团队需要持续关注系统操作的技术演进，平衡检测覆盖率和误报率的辩证关系。建议将本规则作为纵深防御体系的一部分，而非独立依赖的检测手段。

未来可考虑引入机器学习方法，基于命令历史行为建立基线，实现更智能的异常检测。同时应关注Windows新版本中命令行处理机制的变化，确保检测策略的持续有效性。